PT-2022-4998 · Ibm+1 · Ibm Spectrum Protect Plus+1
Publicado
2022-09-17
·
Atualizado
2022-09-21
·
CVE-2022-40608
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
IBM Spectrum Protect Plus, versões 10.1.6 a 10.1.11
Microsoft File Systems (versões afetadas não especificadas)
Descrição
O problema está relacionado à funcionalidade de backup e restauração dos Sistemas de Arquivos da Microsoft no IBM Spectrum Protect Plus, onde uma restrição incorreta de um caminho de diretório com acesso limitado pode ser explorada. Isso pode permitir que um invasor remoto divulgue informações protegidas manipulando a URL com um ataque de traversal de diretório, obtendo acesso a arquivos aos quais o operador não deveria ter acesso.
Recomendações
Para as versões 10.1.6 a 10.1.11 do IBM Spectrum Protect Plus, considere restringir o acesso à operação de restauração até que um patch esteja disponível.
Como solução alternativa temporária, evite usar a operação de restauração com URLs manipuladas para minimizar o risco de exploração.
Restrinja o acesso a arquivos confidenciais na máquina de destino para impedir o acesso não autorizado.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ibm Spectrum Protect Plus
Filesystem